From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Message-Id: <200108140920.f7E9KAU53576@www3.mailru.com> From: Roman S To: mandrake-russian@altlinux.ru MIME-Version: 1.0 Content-Type: text/plain; charset="koi8-r" Content-Transfer-Encoding: 8bit X-Mailer: Free WebMail HotBOX.ru X-Originating-IP: [194.84.146.9] Subject: [mdk-re] Потенциальная дыра или нет? Sender: mandrake-russian-admin@altlinux.ru Errors-To: mandrake-russian-admin@altlinux.ru X-BeenThere: mandrake-russian@altlinux.ru X-Mailman-Version: 2.0 Precedence: bulk Reply-To: mandrake-russian@altlinux.ru List-Help: List-Post: List-Subscribe: , List-Id: Linux-Mandrake RE / ALT Linux discussion list List-Unsubscribe: , List-Archive: Date: Tue Aug 14 13:16:13 2001 X-Original-Date: Tue, 14 Aug 2001 13:20:10 +0400 (MSD) Archived-At: List-Archive: List-Post: Доброго дня! Вчера случилась такая история: У моих хороших знакомых позавчера уволили сисадмина (было за что). Вечером ребята попросили проаудитить, не оставил ли он за собой каких-либо гадостей... (у них пост. канал в интернет, многие цепляются к работе из дома). И подозрения их замучали... 1) Конверт с паролем root-a есс-но не соответствовал... Загрузился с дистрибутива Spring, поправил LILO, загрузился в single. Обнаружил в архиве логов интересную штуку - удалённый вход через SSH по профилю, который уже был заблокирован! У профиля в доме валялся SSH-ключик... Времени особо не было, а учитывая то, что в системе оказался root-kit, я по-быстрому переставил систему, перезавёл пользователей, доконфигурил до потребностей.... В связи с тем, что сейчас нет системы для экспериментов - Вопрос: Это исходное отверстие в Slackware (вход по SSH заблокированным пользователем) или "творчество" администратора? Если дыра, то есть ли в Spring? Если есть, то как бороть? Rgds! Roman Savelyev